Check Point Research (CPR) a identifié de graves vulnérabilités, susceptibles de permettre à des attaquants de s’emparer de la base de données du réseau social Friend.tech, une des plateformes Web3 les plus récentes, et d’accéder aux conversations des utilisateurs dans les salons de discussion, de manipuler les classements et les scores des utilisateurs, de partager des fichiers, et d’obtenir un accès complet aux données.
Dans le détail, exploitées, ce vulnérabilités permettraient à un pirate de réaliser les opérations suivantes :
- Accéder à la base de données de Friend.tech et contrôler sans autorisation diverses fonctions, dont la possibilité de télécharger l’intégralité de la base de données.
- Récupérer tous les chats privés qui sont derrière un paywall par défaut. Cela implique que les discussions, supposées être visibles uniquement par les utilisateurs ayant payé, pourraient être accessibles et divulguées sans autorisation. Cela serait également le cas pour les fichiers partagés dans le chat tels que les images, vidéos, etc.
- Modifier directement les valeurs de la base de données, en particulier les « scores » de classement ( obtenus en achetant ou en vendant des actions d’utilisateurs). Ces scores permettent d’obtenir une plus grande quantité d’airdrop de l’application friend.tech.
Friend.tech et la « tokenisation » de la popularité
Friend.tech repose sur la blockchain et des modèles financiers décentralisé et fonctionne comme un écosystème décentralisé où la popularité d’un utilisateur va au-delà des simples likes et autres retweets : elle se « tokenise ». Prenons l’exemple d’une bourse de profils dont la valeur fluctue en fonction de l’offre et de la demande. Une fois que le compte utilisateur de friend.tech est connecté à son compte X (anciennement Twitter), la plateforme permet aux utilisateurs de faire du trading de profils en achetant et en vendant leurs « actions ». Créée en août 2023, la plateforme a fait une entrée remarquée, suscitant l’enthousiasme tant de la communauté Web3 que des journalistes. Sur une période relativement courte, Friend.tech a enregistré un volume exceptionnel de 38 884 ETH, soit environ 64,6 millions de dollars, répartis sur 1,5 million de transactions. Ces données n’ont pas seulement attiré l’attention, elles ont également renforcé la position de Friend.tech en les plaçant au deuxième rang de l’activité globale du protocole sur la chaîne :
Avoir des actions dépasse la simple dimension financière : c’est un moyen d’obtenir un accès exclusif à du contenu et à des privilèges. Si vous investissez dans les actions d’un influenceur sur Twitter, par exemple, vous aurez accès à des contenus exclusifs, à un chat privé et à un canal de messagerie directe. Il s’agit en fait d’un système pour interagir avec les fans, à plusieurs niveaux et basé sur des tokens. C’est l’accès direct et sans filtre de l’utilisateur qui donne une véritable valeur à ces actions. Pour les membres de Twitter, plus ils gagnent en notoriété, plus ils attirent d’actionnaires. Ce qui, à son tour, fait grimper la valeur de votre token social. Le 5 septembre 2023, CPR a partagé ses découvertes avec l’équipe de Friend.tech, dans le but d’améliorer la sécurité de l’expérience des utilisateurs de la plateforme. CPR recommande à tous les utilisateurs de rester vigilants et de garder à l’esprit les règles de sécurité les plus strictes.
Félix Marcel
